Comment Se Proteger Contre NotPetya?

Comment fonctionne NotPetya et comment s’en protéger?

NotPetya est un logiciel malicieux communément appelé Ransomware. Un Ransomware ou encore connu sous le nom de logiciel de rançonnage informatique comme son nom l’indique est un logiciel dont la particularité est d’infecter les systèmes vulnérables. Après infection, tous les fichiers de votre ordinateur se retrouvent encryptés et requièrent une clé de décryptage pour être accessibles. Un message apparaît donc pour vous demander le paiement d’une rançon en échange de la clé de décryptage. NotPetya comme Wannacry utilisent le même modus operandi, infecter les systèmes informatiques à travers les services de partages de fichiers SMBv1 (Serveur Message Block) supportés par les systèmes Microsoft depuis plus d’une trentaine d’années. Sans compter que Microsoft avait annoncé récemment l’arrêt des mises à jour de ce service et avait conseillé aux administrateurs de le désactiver et de passer à la version 2. Après analyse d’un certain nombre de Ransomware, nous sommes arrivés à des conclusions très utiles.

Les systèmes affectés sont :

Tous les systèmes Windows, sans exception de Windows XP à Windows 10. La plupart des chercheurs ont conclu que seuls les systèmes vulnérables à EternalBlue, la vulnérabilité exploitée par NotPetya pour infecter les systèmes étaient vulnérables. Ma propre analyse conclut que mes confrères manquent de diligence et devraient avoir une grande ouverture sur la question. Les attaques informatiques comme NotPetya ont plusieurs vecteurs d’attaques. Beaucoup de victimes se sont vues infectées par NotPetya juste en cliquant sur un lien provenant de l’adresse e-mail suivante: [email protected] (Nombres d’adresses existes). Ce qui techniquement veut dire que si un utilisateur télécharge le Ransomware depuis un réseau informatique sous Windows 10, il se retrouve infecté.

Notre conseil serait :

Pour tout internaute:

• Ne cliquez sur aucun lien que vous ne connaissez
• Évitez de télécharger des applications de sources douteuses (exemples: site de torrents, exécutables reçus par e-mail)
• Continuellement mettre à jour son système
• Activer la protection à l’accès des fichiers (seulement pour les utilisateurs de Windows 10)
• Déconnecter immédiatement votre système de toute source de courant dès que vous avez le doute d’être infecté (semble bête, mais très utile).

Pour les administrateurs réseau:

• Bloquer toute tentative de connexion sinon utiliser ou filtrer le trafic sur tous les ports : TCP 445, TCP 139, UDP 137 et UDP 138
• Signaler tout e-mail provenant de l’adresse ci-dessus comme non désirée
• Mettre à jour les systèmes et désactiver smbv1 au profit de smbv2

Comment récupérer ses fichiers après infection?

Après infection, votre machine redémarre et vous fait croire qu’il y a une erreur de disque et que le système répare actuellement le fichier système. Pendant ce temps, le Ransomware encrypte vos fichiers. Si à ce moment précis, vous avez eu la notion d’éteindre votre machine, alors vous pourrez récupérer tous vos fichiers en majeure partie justes en redémarrant le système sur un live USB communément appelé clé bootable pour la simple raison que NotPetya n’encrypte pas directement les fichiers comme la majeure partie des Ransomwares, mais plutôt encrypte le Master Boot Record (MBR) contenant l’adresse de la section de démarrage de votre ordinateur et le remplace avec son propre fichier MBR. Une fois ce fichier encrypté, votre ordinateur ne pouvant plus lire la section de démarrage se retrouve à lire celui-ci généré par NotPetya. La différence entre Petya et NotPetya se situe dans le fait que NotPetya contrairement à son prédécesseur Petya en plus d’encrypter le fichier MBR encrypte aussi les fichiers du stocker sur le disque dur. Ce qui une fois le cryptage terminé rend la récupération des fichiers quasi impossible. C’est la raison pour laquelle il faut déconnecter son ordinateur de toutes sources de courant.

Faut-il payer si on est infectée par un logiciel de rançonnage?

C’est un NON formel. Depuis des années les experts en cyber sécurité informent et sensibilisent sur le fait que payer une rançon c’est comme corrompre. On n’est jamais sûr du résultat, la preuve en est que tous ceux qui ont payé une rançon pour NotPetya n’ont jamais reçu de clé pour le décryptage des fichiers.